Credenciales con protección insuficiente en productos Proficy de GE

Fecha de publicación:

18/01/2017

Importancia:

3 - Media

Recursos afectados:

Proficy HMI/SCADA iFIX, versión 5.8 SIM 13 y anteriores
Proficy HMI/SCADA CIMPLICITY, versión 9.0 y anteriores
Proficy Historian, versión 6.0 y anteriores

Descripción:

El investigador Ilya Karpov de Positive Technologies ha identificado una vulnerabilidad que afecta a varios productos de GE. Esta vulnerabilidad puede permitir a un atacante conseguir las contraseñas de los usuarios registrados.

Solución:

GE ha publicado nuevas versiones de los productos para corregir la vulnerabilidad identificada. Las nuevas versiones son:

iFIX, versión 5.8 SIM 14
CIMPLICITY, versión 9.5
Historian, versión 7.0

Detalle:

La vulnerabilidad identificada podría permitir a un potencial atacante local recuperar las contraseñas de los usuarios si dispone de acceso a una sesión autenticada. Para la explotación de esta vulnerabilidad se necesita la interacción del usuario. Se ha reservado el identificador CVE-2016-9360 para esta vulnerabilidad.

Referencias:

GE Proficy HMI/SCADA iFIX, Proficy HMI/SCADA CIMPLICITY, and Proficy Historian Vulnerability

GE Digital Security Advisory GED 16-02

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Credenciales con protección insuficiente en productos Proficy de GE

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric

Autenticación incorrecta en PortServer TS 16 de Digi International